ISO27001-2013內(nèi)審培訓(xùn)(培訓(xùn)課件)

ISO/IEC27001:2013培訓(xùn)講義景同科技ByPeterQu2018年1月3日

目錄ISO/IEC27001主要章節(jié)規(guī)范性附錄APage2

目錄ISO/IEC27001主要章節(jié)規(guī)范性附錄APage3主要內(nèi)容Page4本標(biāo)準(zhǔn)的主要章節(jié)是4－8章。前三章的內(nèi)容結(jié)構(gòu)如下所示： 引言 0.1總則

0.2與其他管理體系的兼容性 1范圍

2規(guī)范性引用文件 3術(shù)語和定義第四章組織環(huán)境Page54.1理解組織及其環(huán)境組織應(yīng)確定與其目標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題。4.2理解相關(guān)方的需求和期望組織應(yīng)確定a)與信息安全管理體系有關(guān)的相關(guān)方；b)這些相關(guān)方與信息安全有關(guān)的要求注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。實(shí)施和操作ISMS第四章組織環(huán)境Page64.3確定信息安全管理體系的范圍組織應(yīng)確定信息安全管理體系的邊界和適用性，以建立其范圍。當(dāng)確定該范圍時(shí)，組織應(yīng)考慮：a)在4.1中提及的外部和內(nèi)部問題；b)在4.2中提及的要求；c)組織所執(zhí)行的活動(dòng)之間以及與其它組織的活動(dòng)之間的接口和依賴性范圍應(yīng)文件化并保持可用性。第四章組織環(huán)境Page74.4信息安全管理體系組織應(yīng)按照本標(biāo)準(zhǔn)的要求建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系。具體說明：一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于下圖所示的PDCA模型。建立ISMS(PLAN)實(shí)施和運(yùn)行ISMS(DO)監(jiān)控和評(píng)審ISMS(CHECK)保持和改進(jìn)ISMS(ACT)說明：新版4-7是P，8是D，9是C，10是A第五章領(lǐng)導(dǎo)Page85.1領(lǐng)導(dǎo)和承諾高層管理者應(yīng)通過下列方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾：a)確保建立信息安全方針和信息安全目標(biāo)，并與組織的戰(zhàn)略方向保持一致；b)確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過程中；c)確保信息安全管理體系所需資源可用；d)傳達(dá)信息安全管理有效實(shí)施、符合信息安全管理體系要求的重要性；e)確保信息安全管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；f)指揮并支持人員為信息安全管理體系的有效實(shí)施作出貢獻(xiàn)；g)促進(jìn)持續(xù)改進(jìn)；h)支持其他相關(guān)管理角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。第五章領(lǐng)導(dǎo)Page95.2方針

高層管理者應(yīng)建立信息安全方針，以：a)適于組織的目標(biāo)；b)包含信息安全目標(biāo)（見6.2）或設(shè)置信息安全目標(biāo)提供框架；c)包含滿足適用的信息安全相關(guān)要求的承諾；d)包含信息安全管理體系持續(xù)改進(jìn)的承諾。信息安全方針應(yīng)：e)文件化并保持可用性；f)在組織內(nèi)部進(jìn)行傳達(dá)；g)適當(dāng)時(shí)，對(duì)相關(guān)方可用。第五章領(lǐng)導(dǎo)Page105.3角色、職責(zé)和權(quán)限

高層管理者應(yīng)確保分配并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。高層管理者應(yīng)分配下列職責(zé)和權(quán)限：a)確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求；b)將信息安全管理體系的績效報(bào)告給高層管理者。注：高層管理者可能還要分配在組織內(nèi)部報(bào)告信息安全管理體系績效的職責(zé)和權(quán)限。第六章規(guī)劃Page116.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1總則當(dāng)規(guī)劃信息安全管理體系時(shí)，組織應(yīng)考慮4.1中提及的問題和4.2中提及的要求，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以：a)確保信息安全管理體系能實(shí)現(xiàn)其預(yù)期結(jié)果；b)防止或減少意外的影響；c)實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃：d)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；e)如何1)整合和實(shí)施這些措施并將其納入信息安全管理體系過程；2)評(píng)價(jià)這些措施的有效性。第六章規(guī)劃Page126.1.2信息安全風(fēng)險(xiǎn)評(píng)估組織應(yīng)定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過程，以：a)建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括：1)風(fēng)險(xiǎn)接受準(zhǔn)則；2)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；b)確保重復(fù)性的信息安全風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的、有效的和可比較的結(jié)果；c)識(shí)別信息安全風(fēng)險(xiǎn)：1)應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過程來識(shí)別信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險(xiǎn)； 2)識(shí)別風(fēng)險(xiǎn)負(fù)責(zé)人；第六章規(guī)劃Page136.1.2信息安全風(fēng)險(xiǎn)評(píng)估（續(xù)）d)分析信息安全風(fēng)險(xiǎn)：1)評(píng)估6.1.2c）1）中所識(shí)別風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在影響；2)評(píng)估6.1.2c）1）中所識(shí)別風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性；3)確定風(fēng)險(xiǎn)級(jí)別；e)評(píng)價(jià)信息安全風(fēng)險(xiǎn)；1)將風(fēng)險(xiǎn)分析結(jié)果同6.1.2a）建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；2)為實(shí)施風(fēng)險(xiǎn)處置確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)。組織應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估過程的文件記錄信息。第六章規(guī)劃Page146.1.3信息安全風(fēng)險(xiǎn)處置組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)處置過程，以：a)在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置選項(xiàng)：b)為實(shí)施所選擇的信息安全風(fēng)險(xiǎn)處置選項(xiàng)，確定所有必需的控制措施；注：組織可按要求設(shè)計(jì)控制措施，或從其他來源識(shí)別控制措施。c)將6.1.3b）所確定的控制措施與附錄A的控制措施進(jìn)行比較，以核實(shí)沒有遺漏必要的控制措施；注1：附錄A包含了一份全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可利用附錄A以確保不會(huì)遺漏必要的控制措施。注2：控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要另外的控制目標(biāo)和控制措施。 d)產(chǎn)生適用性聲明。適用性聲明要包含必要的控制措施（見6.1.3b和c）、對(duì)包含的合理性說明（無論是否已實(shí)施）以及對(duì)附錄A控制措施刪減的合理性說明；第六章規(guī)劃Page156.1.3信息安全風(fēng)險(xiǎn)處置（續(xù)）e)制定信息安全風(fēng)險(xiǎn)處置計(jì)劃；f)獲得風(fēng)險(xiǎn)負(fù)責(zé)人對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃以及接受信息安全殘余風(fēng)險(xiǎn)的批準(zhǔn)。組織應(yīng)保留信息安全風(fēng)險(xiǎn)處置過程的文件記錄信息。注：本標(biāo)準(zhǔn)中的信息安全風(fēng)險(xiǎn)評(píng)估和處置過程可與ISO31000[5]（風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)）中規(guī)定的原則和通用指南相結(jié)合。第六章規(guī)劃Page166.2信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)組織應(yīng)在相關(guān)職能和層次上建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：a)與信息安全方針一致；b)可測(cè)量（如可行）；c)考慮適用的信息安全要求以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果；d)被傳達(dá)；e)適當(dāng)時(shí)進(jìn)行更新。組織應(yīng)保留關(guān)于信息安全目標(biāo)的文件記錄信息。當(dāng)規(guī)劃如何實(shí)現(xiàn)其信息安全目標(biāo)時(shí)，組織應(yīng)確定：f)要做什么；g)需要什么資源；h)由誰負(fù)責(zé)；i)什么時(shí)候完成；j)如何評(píng)價(jià)結(jié)果。第七章支持Page177.1資源

組織應(yīng)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。7.2能力組織應(yīng)：

a)確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要能力；b)確保人員在適當(dāng)教育，培訓(xùn)和經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任工作；c)適用時(shí)，采取措施來獲得必要的能力，并評(píng)價(jià)所采取措施的有效性；d)保留適當(dāng)?shù)奈募涗浶畔⒆鳛槟芰Ψ矫娴淖C據(jù)。注：例如適當(dāng)措施可能包括為現(xiàn)有員工提供培訓(xùn)、對(duì)其進(jìn)行指導(dǎo)或重新分配工作；雇用或簽約有能力的人員。

7.3意識(shí)

評(píng)審成果，應(yīng)該包含任何決策及相關(guān)行動(dòng)。第七章支持Page187.3意識(shí)人員在組織的控制下從事其工作時(shí)應(yīng)意識(shí)到：a)信息安全方針；b)他們對(duì)有效實(shí)施信息安全管理體系的貢獻(xiàn)，包括信息安全績效改進(jìn)后的益處；c)不符合信息安全管理體系要求可能的影響。7.4溝通組織應(yīng)確定有關(guān)信息安全管理體系在內(nèi)部和外部進(jìn)行溝通的需求，包括：a)什么需要溝通；b)什么時(shí)候溝通；c)跟誰進(jìn)行溝通；d)由誰負(fù)責(zé)溝通；e)影響溝通的過程。第七章支持Page197.5文件記錄信息7.5.1總則組織的信息安全管理體系應(yīng)包括：a)本標(biāo)準(zhǔn)要求的文件記錄信息；b)組織為有效實(shí)施信息安全管理體系確定的必要的文件記錄信息。注：不同組織的信息安全管理體系文件記錄信息的詳略程度取決于：1)組織的規(guī)模及其活動(dòng)、過程、產(chǎn)品和服務(wù)的類型；2)過程的復(fù)雜性及其相互作用；3)人員的能力。7.5.2創(chuàng)建和更新創(chuàng)建和更新文件記錄信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模篴)標(biāo)識(shí)和描述（例如：標(biāo)題、日期、作者或參考編號(hào)）；b)格式（例如：語言，軟件版本，圖表）和介質(zhì)（例如：紙質(zhì)介質(zhì)，電子介質(zhì)）；c)評(píng)審和批準(zhǔn)其適用性和充分性。第七章支持Page207.5文件記錄信息（續(xù)）7.5.3文件記錄信息的控制信息安全管理體系和本標(biāo)準(zhǔn)所要求的文件記錄信息應(yīng)予以控制，以確保：a)無論何時(shí)何地需要，它都是可用并適合使用的；b)它被充分保護(hù)（例如避免喪失保密性、使用不當(dāng)或喪失完整性）。對(duì)于文件記錄信息的控制，適用時(shí)，組織應(yīng)處理下列問題：c)分發(fā)、訪問、檢索和使用；d)存儲(chǔ)和保存，包括可讀性的保持；e)變更控制（例如版本控制）；f)保留和和處置。組織為規(guī)劃和實(shí)施信息安全管理體系確定的必要的外部原始文件記錄信息，適當(dāng)時(shí)應(yīng)予以識(shí)別并進(jìn)行控制。注：訪問隱含一個(gè)權(quán)限決策：僅能查看文件記錄信息，或有權(quán)去查看和變更文件記錄信息等。第八章運(yùn)行Page218.1運(yùn)行的規(guī)劃和控制組織應(yīng)規(guī)劃、實(shí)施和控制滿足信息安全要求所需的過程，并實(shí)施6.1中確定的措施。組織還應(yīng)實(shí)施這些規(guī)劃來實(shí)現(xiàn)6.2中所確定的信息安全目標(biāo)。組織應(yīng)保持文件記錄信息達(dá)到必要的程度：有信心證明過程是按計(jì)劃執(zhí)行的。組織應(yīng)控制計(jì)劃了的變更，評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減緩負(fù)面影響。組織應(yīng)確保外包的過程已確定，并處于可控狀態(tài)。8.2信息安全風(fēng)險(xiǎn)評(píng)估考慮到6.1.2a）中建立的風(fēng)險(xiǎn)評(píng)估執(zhí)行準(zhǔn)則，組織應(yīng)按計(jì)劃的時(shí)間間隔執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估，當(dāng)重大變更被提出或發(fā)生時(shí)也應(yīng)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。組織應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的文件記錄信息。8.3信息安全風(fēng)險(xiǎn)處置組織應(yīng)實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃。組織應(yīng)保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件記錄信息。第九章績效評(píng)價(jià)Page229.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)組織應(yīng)評(píng)價(jià)信息安全績效和信息安全管理體系的有效性。組織應(yīng)確定：a)什么需要監(jiān)視和測(cè)量，包括信息安全過程和控制措施；b)監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，適用時(shí)，確保結(jié)果有效；注：選擇的方法最好產(chǎn)生可比較和可再現(xiàn)的結(jié)果，這樣才能被認(rèn)為是有效的。c)什么時(shí)候應(yīng)執(zhí)行監(jiān)視和測(cè)量；d)誰應(yīng)實(shí)施監(jiān)視和測(cè)量；e)什么時(shí)候應(yīng)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)；f)誰應(yīng)分析和評(píng)價(jià)這些結(jié)果。組織應(yīng)保留適當(dāng)?shù)奈募涗浶畔⒆鳛楸O(jiān)視和測(cè)量結(jié)果的證據(jù)。第九章績效評(píng)價(jià)Page239.2內(nèi)部審核組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供信息確定信息安全管理體系是否：a)符合1)組織自身信息安全管理體系的要求；2)本標(biāo)準(zhǔn)的要求；b)得到有效的實(shí)施和保持。組織應(yīng)：c)規(guī)劃、建立、實(shí)施和保持審核方案，包括頻次、方法、職責(zé)、計(jì)劃要求和報(bào)告。審核方案應(yīng)考慮所關(guān)注過程的重要性以及以往審核的結(jié)果；d)為每次審核定義審核準(zhǔn)則和審核范圍；e)審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性；f)確保審核結(jié)果報(bào)告給相關(guān)的管理者；g)保留文件記錄信息作為審核方案和審核結(jié)果的證據(jù)。第九章績效評(píng)價(jià)Page249.3管理評(píng)審管理者應(yīng)按計(jì)劃的時(shí)間間隔評(píng)審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。管理評(píng)審應(yīng)包括下列方面的考慮：a)以往管理評(píng)審的措施的狀態(tài)；b)與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更；c)信息安全績效的反饋，包括下列方面的趨勢(shì)：1)不符合和糾正措施；2)監(jiān)視和測(cè)量結(jié)果；3)審核結(jié)果；4)信息安全目標(biāo)的實(shí)現(xiàn)；第九章績效評(píng)價(jià)Page259.3管理評(píng)審（續(xù)）d)相關(guān)方的反饋；e)風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f)持續(xù)改進(jìn)的機(jī)會(huì)。管理評(píng)審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)有關(guān)的決定，以及變更信息安全管理體系的所有需求。組織應(yīng)保留文件記錄信息作為管理評(píng)審結(jié)果的證據(jù)。第十章改進(jìn)Page2610.1不符合和糾正措施當(dāng)發(fā)生不符合時(shí)，組織應(yīng)：a)對(duì)不符合作出反應(yīng)，適用時(shí)：1)采取措施控制并糾正不符合；2)處理后果；b)為確保不符合不再發(fā)生或不在其他地方發(fā)生，通過下列方式評(píng)價(jià)消除不符合原因的措施需求：1)評(píng)審不符合；2)確定不符合的原因；3)確定是否存在或可能發(fā)生相似的不符合；第十章改進(jìn)Page27c)實(shí)施所需的措施；d)評(píng)審所采取糾正措施的有效性；e)必要時(shí)，對(duì)信息安全管理體系實(shí)施變更。糾正措施應(yīng)與所遇不符合的影響相適應(yīng)。組織應(yīng)保留文件記錄信息作為下列事項(xiàng)的證據(jù)：f)不符合的性質(zhì)以及所采取的所有后續(xù)措施；g)所有糾正措施的結(jié)果。10.2持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。

目錄ISO/IEC27001主要章節(jié)規(guī)范性附錄APage28

附錄APage29ISO/IEC

27001:2013版14個(gè)方面、35

個(gè)控制目標(biāo)和114項(xiàng)控制措施列表1)

安全策略

8)操作安全

2)信息安全組織

9）通信和操作管理3)

人力資源安全

10)信息系統(tǒng)獲取、開發(fā)和維護(hù)4)

資產(chǎn)管理

11)供應(yīng)商關(guān)系5)

訪問控制

12）信息安全事故管理6）密碼學(xué)

13)業(yè)務(wù)連續(xù)性管理的信息安全方面7）物理和環(huán)境安全

14)符合性A5、安全策略Page30控制目標(biāo)信息安全策略（5.1）目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理方向并支持信息安全控制措施信息安全策略（5.1.1）信息安全策略集應(yīng)由管理者定義、批準(zhǔn)、發(fā)布并傳達(dá)給員工和相關(guān)外部方信息安全策略的評(píng)審（5.1.2）信息安全策略應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性A6、信息安全組織Page31控制目標(biāo)內(nèi)部組織（6.1）目標(biāo)：建立管理框架，以啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施和運(yùn)行控制措施信息安全角色和職責(zé)（6.1.1）所有的信息安全職責(zé)應(yīng)予以定義和分配職責(zé)分離（6.1.2）分離相沖突的責(zé)任及職責(zé)范圍，以降低未授權(quán)或無意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)與政府部門的聯(lián)系（6.1.3）應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系與特定利益集團(tuán)的聯(lián)系（6.1.4）應(yīng)保持與特定利益集團(tuán)、其他安全論壇和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系項(xiàng)目管理中的信息安全（6.1.5）無論項(xiàng)目是什么類型，在項(xiàng)目管理中都應(yīng)處理信息安全問題A6、信息安全組織（續(xù)）Page32控制目標(biāo)移動(dòng)設(shè)備和遠(yuǎn)程工作（6.2）目標(biāo)：確保遠(yuǎn)程工作和使用移動(dòng)設(shè)備時(shí)的安全控制措施移動(dòng)設(shè)備策略（6.2.1）應(yīng)采用策略和支持性安全措施來管理由于使用移動(dòng)設(shè)備帶來的風(fēng)險(xiǎn)遠(yuǎn)程工作（6.2.2）應(yīng)實(shí)施策略和支持性安全措施來保護(hù)在遠(yuǎn)程工作場(chǎng)地訪問、處理或存儲(chǔ)的信息A7、人力資源安全Page33控制目標(biāo)任用之前（7.1）目標(biāo)：確保雇員和承包方人員理解其職責(zé)、適于考慮讓其承擔(dān)的角色控制措施審查（7.1.1）關(guān)于所有任用候選者的背景驗(yàn)證核查應(yīng)按照相關(guān)法律、法規(guī)、道德規(guī)范和對(duì)應(yīng)的業(yè)務(wù)要求、被訪問信息的類別和察覺的風(fēng)險(xiǎn)來執(zhí)行任用條款和條件（7.1.2）與雇員和承包方人員的合同協(xié)議應(yīng)聲明他們和組織的信息安全職責(zé)A7、人力資源安全（續(xù)）Page34控制目標(biāo)任用中（7.2）目標(biāo)：確保雇員和承包方人員知悉并履行其信息安全職責(zé)控制措施管理職責(zé)（7.2.1）管理者應(yīng)要求所有雇員和承包方人員按照組織已建立的策略和規(guī)程對(duì)信息安全盡心盡力信息安全意識(shí)、教育和培訓(xùn)（7.2.2）組織的所有雇員，適當(dāng)時(shí)，包括承包方人員，應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織策略及規(guī)程的定期更新培訓(xùn)紀(jì)律處理過程（7.2.3）應(yīng)有一個(gè)正式的、已傳達(dá)的紀(jì)律處理過程，來對(duì)信息安全違規(guī)的雇員采取措施A7、人力資源安全（續(xù)）Page35控制目標(biāo)任用的終止或變更（7.3）目標(biāo)：將保護(hù)組織利益作為變更或終止任用過程的一部分控制措施任用終止或變更職責(zé)（7.3.1）應(yīng)定義信息安全職責(zé)和義務(wù)在任用終止或變更后保持有效的要求，并傳達(dá)給雇員或承包方人員，予以執(zhí)行A8、資產(chǎn)管理Page36控制目標(biāo)對(duì)資產(chǎn)負(fù)責(zé)（8.1）目標(biāo)：識(shí)別組織資產(chǎn)，并定義適當(dāng)?shù)谋Ｗo(hù)職責(zé)控制措施資產(chǎn)清單（8.1.1）應(yīng)識(shí)別與信息和信息處理設(shè)施的資產(chǎn)，編制并維護(hù)這些資產(chǎn)的清單資產(chǎn)所有權(quán)（8.1.2）清單中所維護(hù)的資產(chǎn)應(yīng)分配所有權(quán)資產(chǎn)的可接受使用（8.1.3）信息及與信息和信息處理設(shè)施有關(guān)的資產(chǎn)的可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施資產(chǎn)的歸還（8.1.4）所有的雇員和外部方人員在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)A8、資產(chǎn)管理(續(xù))Page37控制目標(biāo)信息分類（8.2）目標(biāo)：確保信息按照其對(duì)組織的重要性受到適當(dāng)級(jí)別的保護(hù)控制措施信息的分類（8.2.1）信息應(yīng)按照法律要求、價(jià)值、關(guān)鍵性以及它對(duì)未授權(quán)泄露或修改的敏感性予以分類信息的標(biāo)記（8.2.2）應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記規(guī)程信息的處理（8.2.3）應(yīng)按照組織所采納的信息分類機(jī)制建立和實(shí)施處理資產(chǎn)的規(guī)程A8、資產(chǎn)管理(續(xù))Page38控制目標(biāo)介質(zhì)處置（8.3）目標(biāo)：防止存儲(chǔ)在介質(zhì)上的信息遭受未授權(quán)泄露、修改、移動(dòng)或銷毀控制措施可移動(dòng)介質(zhì)的管理（8.3.1）應(yīng)按照組織所采納的分類機(jī)制實(shí)施可移動(dòng)介質(zhì)的管理規(guī)程介質(zhì)的處置（8.3.2）不再需要的介質(zhì)，應(yīng)使用正式的規(guī)程可靠并安全地處置物理介質(zhì)傳輸（8.3.3）包含信息的介質(zhì)在運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪問、不當(dāng)使用或毀壞A9、訪問控制Page39控制目標(biāo)安全區(qū)域（9.1）目標(biāo)：限制對(duì)信息和信息處理設(shè)施的訪問控制措施訪問控制策略（9.1.1）訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和信息安全要求進(jìn)行評(píng)審網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問（9.1.2）用戶應(yīng)僅能訪問已獲專門授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)A9、訪問控制（續(xù)）Page40控制目標(biāo)用戶訪問管理（9.2）目標(biāo)：確保授權(quán)用戶訪問系統(tǒng)和服務(wù)，并防止未授權(quán)的訪問控制措施用戶注冊(cè)及注銷（9.2.1）應(yīng)實(shí)施正式的用戶注冊(cè)及注銷規(guī)程，使訪問權(quán)限得以分配用戶訪問開通（9.2.2）應(yīng)實(shí)施正式的用戶訪問開通過程，以分配或撤銷所有系統(tǒng)和服務(wù)所有用戶類型的訪問權(quán)限特殊權(quán)限管理（9.2.3）應(yīng)限制和控制特殊訪問權(quán)限的分配及使用用戶秘密認(rèn)證信息管理（9.2.4）應(yīng)通過正式的管理過程控制秘密認(rèn)證信息的分配用戶訪問權(quán)的復(fù)查（9.2.5）資產(chǎn)所有者應(yīng)定期復(fù)查用戶的訪問權(quán)限撤銷或調(diào)整訪問權(quán)限（9.2.6）所有雇員、外部方人員對(duì)信息和信息處理設(shè)施的訪問權(quán)限應(yīng)在任用、合同或協(xié)議終止時(shí)撤銷，或在變化時(shí)調(diào)整A9、訪問控制（續(xù)）Page41控制目標(biāo)用戶職責(zé)（9.3）目標(biāo)：使用戶承擔(dān)保護(hù)認(rèn)證信息安全的責(zé)任控制措施使用秘密認(rèn)證信息（9.3.1）應(yīng)要求用戶在使用秘密鑒別信息時(shí)，遵循組織的規(guī)則A9、訪問控制（續(xù)）Page42控制目標(biāo)系統(tǒng)和應(yīng)用訪問控制（9.4）目標(biāo)：防止對(duì)系統(tǒng)和應(yīng)用的未授權(quán)訪問控制措施信息訪問控制（9.4.1）應(yīng)依照訪問控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪問安全登錄規(guī)程（9.4.2）在訪問控制策略要求下，訪問操作系統(tǒng)和應(yīng)用應(yīng)通過安全登錄規(guī)程加以控制口令管理系統(tǒng)（9.4.3）口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令特殊權(quán)限使用工具軟件的使用（9.4.4）對(duì)于可能超越系統(tǒng)和應(yīng)用程序控制措施的適用工具軟件的使用應(yīng)加以限制并嚴(yán)格控制對(duì)程序源代碼的訪問控制（9.4.5）應(yīng)限制訪問程序源代碼A10、密碼學(xué)Page43控制目標(biāo)密碼控制（10.1）目標(biāo)：恰當(dāng)和有效的利用密碼學(xué)保護(hù)信息的保密性、真實(shí)性或完整性控制措施使用密碼控制的策略（10.1.1）應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略秘鑰管理（10.1.2）宜開發(fā)和實(shí)施貫穿整個(gè)密鑰生命周期的關(guān)于密鑰使用、保護(hù)和生存期的策略A11、物理與環(huán)境安全Page44控制目標(biāo)安全區(qū)域（11.1）目標(biāo)：防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾控制措施物理安全邊界（11.1.1）應(yīng)定義安全周邊和所保護(hù)的區(qū)域，包括敏感或關(guān)鍵的信息和信息處理設(shè)施的區(qū)域物理入口控制（11.1.2）安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問辦公室、房間和設(shè)施的安全保護(hù)（11.1.3）應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措施外部和環(huán)境威脅的安全防護(hù)（11.1.4）為防止自然災(zāi)難、惡意攻擊或事件，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施在安全區(qū)域工作（11.1.5）應(yīng)設(shè)計(jì)和應(yīng)用工作在安全區(qū)域的規(guī)程交接區(qū)安全（11.1.6）訪問點(diǎn)（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場(chǎng)所的其他點(diǎn)應(yīng)加以控制，如果可能，應(yīng)與信息處理設(shè)施隔離，以避免未授權(quán)訪問A11、物理與環(huán)境安全（續(xù)）Page45控制目標(biāo)設(shè)備（11.2）目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷控制措施設(shè)備安置和保護(hù)（11.2.1）應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會(huì)支持性設(shè)施（11.2.2）應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷布纜安全（11.2.3）應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞設(shè)備維護(hù)（11.2.4）設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性A11、物理與環(huán)境安全（續(xù)）Page46控制目標(biāo)設(shè)備（11.2）目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷控制措施資產(chǎn)的移動(dòng)（11.2.5）設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所組織場(chǎng)所外設(shè)備和資產(chǎn)的安全（11.2.6）應(yīng)對(duì)組織場(chǎng)所外的設(shè)備采取安全措施，要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)設(shè)備的安全處置和再利用（11.2.7）包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行驗(yàn)證，以確保在處置之前，任何敏感信息和注冊(cè)軟件已被刪除或安全地寫覆蓋無人值守的用戶設(shè)備（11.2.8）用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)清空桌面和屏幕策略（11.2.9）應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略A12、操作安全Page47控制目標(biāo)操作程序和職責(zé)（12.1）目標(biāo)：確保正確、安全的操作信息處理設(shè)施控制措施文件化的操作程序（12.1.1）操作規(guī)程應(yīng)形成文件并對(duì)所有需要的用戶可用變更管理（12.1.2）對(duì)影響信息安全的組織、業(yè)務(wù)過程、信息處理設(shè)施和系統(tǒng)等的變更應(yīng)加以控制容量管理（12.1.3）資源的使用應(yīng)加以監(jiān)視、調(diào)整，并作出對(duì)于未來容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能開發(fā)、測(cè)試和運(yùn)行設(shè)施分離（12.1.4）開發(fā)、測(cè)試和運(yùn)行環(huán)境應(yīng)分離，以減少未授權(quán)訪問或改變運(yùn)行環(huán)境的風(fēng)險(xiǎn)A12、操作安全（續(xù)）Page48控制目標(biāo)惡意軟件防護(hù)（12.2）目標(biāo)：確保對(duì)信息和信息處理設(shè)施進(jìn)行惡意軟件防護(hù)控制措施控制惡意軟件（12.2.1）應(yīng)實(shí)施惡意軟件的檢測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)A12、操作安全（續(xù)）Page49控制目標(biāo)備份（12.3）目標(biāo)：為了防止數(shù)據(jù)丟失控制措施信息備份（12.3.1）應(yīng)按照已設(shè)的備份策略，定期備份和測(cè)試信息和軟件A12、操作安全（續(xù)）Page50控制目標(biāo)日志和監(jiān)視（12.4）目標(biāo)：記錄事態(tài)和生成證據(jù)控制措施事態(tài)記錄（12.4.1）應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常情況、故障和信息安全事態(tài)的事態(tài)日志，并保持定期評(píng)審日志信息的保護(hù)（12.4.2）記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問管理員和操作員日志（12.4.3）系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)應(yīng)記入日志，保護(hù)日志并定期評(píng)審時(shí)鐘同步（12.4.4）一個(gè)組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用單一參考時(shí)間源進(jìn)行同步A12、操作安全（續(xù)）Page51控制目標(biāo)運(yùn)行軟件的控制（12.5）目標(biāo)：確保運(yùn)行系統(tǒng)的完整性控制措施在運(yùn)行系統(tǒng)上安裝軟件（12.5.1）應(yīng)實(shí)施規(guī)程來控制在運(yùn)行系統(tǒng)上安裝軟件A12、操作安全（續(xù)）Page52控制目標(biāo)技術(shù)脆弱性管理（12.6）目標(biāo)：防止技術(shù)脆弱性被利用控制措施技術(shù)脆弱性的控制（12.6.1）應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險(xiǎn)限制軟件安裝（12.6.2）應(yīng)建立和實(shí)施軟件安裝的用戶管理規(guī)則A12、操作安全（續(xù)）Page53控制目標(biāo)信息系統(tǒng)審計(jì)考慮（12.7）目標(biāo)：將運(yùn)行系統(tǒng)審計(jì)活動(dòng)的影響最小化控制措施信息系統(tǒng)審計(jì)控制措施（12.7.1）涉及對(duì)運(yùn)行系統(tǒng)驗(yàn)證的審計(jì)要求和活動(dòng)，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便使造成業(yè)務(wù)過程中斷最小化A13、通信安全Page54控制目標(biāo)網(wǎng)絡(luò)安全管理（13.1）目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性信息處理設(shè)施控制措施網(wǎng)絡(luò)控制控制（13.1.1）應(yīng)管理和控制網(wǎng)絡(luò)，以保護(hù)系統(tǒng)中信息和應(yīng)用程序的安全網(wǎng)絡(luò)服務(wù)安全（13.1.2）安全機(jī)制、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部提供的還是外包的網(wǎng)絡(luò)隔離（13.1.3）應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)A13、通信安全（續(xù)）Page55控制目標(biāo)信息傳遞（13.2）目標(biāo)：保持組織內(nèi)以及與組織外信息傳遞的安全控制措施信息傳遞策略和規(guī)程（13.2.1）應(yīng)有正式的傳遞策略、規(guī)程和控制措施，以保護(hù)通過使用各種類型通信設(shè)施的信息傳遞信息傳遞協(xié)議（13.2.2）協(xié)議應(yīng)解決組織與外部方之間業(yè)務(wù)信息的安全傳遞電子消息發(fā)送（13.2.3）包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)保密性或不泄露協(xié)議（13.2.4）應(yīng)識(shí)別、定期評(píng)審并記錄反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的要求A14、系統(tǒng)獲取、開發(fā)和維護(hù)Page56控制目標(biāo)信息系統(tǒng)的安全要求（14.1）目標(biāo)：確保信息安全是信息系統(tǒng)整個(gè)生命周期中的一個(gè)有機(jī)組成部分。這也包括提供公共網(wǎng)絡(luò)服務(wù)的信息系統(tǒng)的要求控制措施信息安全要求分析和說明（14.1.1）信息安全相關(guān)要求應(yīng)包括新的信息系統(tǒng)要求或增強(qiáng)已有信息系統(tǒng)的要求公共網(wǎng)絡(luò)應(yīng)用服務(wù)安全（14.1.2）應(yīng)保護(hù)公共網(wǎng)絡(luò)中的應(yīng)用服務(wù)信息，以防止欺騙行為、合同糾紛、未授權(quán)泄露和修改保護(hù)應(yīng)用服務(wù)交易（14.1.3）應(yīng)保護(hù)涉及應(yīng)用服務(wù)交易的信息，以防止不完整傳送、錯(cuò)誤路由、未授權(quán)消息變更、未授權(quán)泄露、未授權(quán)消息復(fù)制或重放A14、系統(tǒng)獲取、開發(fā)和維護(hù)（續(xù)）Page57控制目標(biāo)開發(fā)和支持過程中的安全（14.2）目標(biāo)：應(yīng)確保進(jìn)行信息安全設(shè)計(jì)，并確保其在信息系統(tǒng)開發(fā)生命周期中實(shí)施控制措施安全開發(fā)策略（14.2.1）應(yīng)建立軟件和系統(tǒng)開發(fā)規(guī)則，并應(yīng)用于組織內(nèi)的開發(fā)系統(tǒng)變更控制規(guī)程（14.2.2）應(yīng)通過使用正式變更控制程序控制開發(fā)生命周期中的系統(tǒng)變更運(yùn)行平臺(tái)變更后應(yīng)用的技術(shù)評(píng)審（14.2.3）當(dāng)運(yùn)行平臺(tái)發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒有負(fù)面影響軟件包變更的限制（14.2.4）應(yīng)對(duì)軟件包的修改進(jìn)行勸阻，只限于必要的變更，且對(duì)所有的變更加以嚴(yán)格控制A14、系統(tǒng)獲取、開發(fā)和維護(hù)（續(xù)）Page58控制目標(biāo)開發(fā)和支持過程中的安全（14.2）目標(biāo)：應(yīng)確保進(jìn)行信息安全設(shè)計(jì)，并確保其在信息系統(tǒng)開發(fā)生命周期中實(shí)施控制措施安全系統(tǒng)工程原則（14.2.5）應(yīng)建立、記錄和維護(hù)安全系統(tǒng)工程原則，并應(yīng)用到任何信息系統(tǒng)實(shí)施工作安全開發(fā)環(huán)境（14.2.6）組織應(yīng)建立并適當(dāng)保護(hù)系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境，覆蓋整個(gè)系統(tǒng)開發(fā)生命周期外包開發(fā)（14.2.7）組織應(yīng)管理和監(jiān)視外包系統(tǒng)開發(fā)活動(dòng)系統(tǒng)安全測(cè)試（14.2.8）在開發(fā)過程中，應(yīng)進(jìn)行安全功能測(cè)試系統(tǒng)驗(yàn)收測(cè)試（14.2.9）對(duì)于新建信息系統(tǒng)和新版本升級(jí)系統(tǒng)，應(yīng)建立驗(yàn)收測(cè)試方案和相關(guān)準(zhǔn)則A14、系統(tǒng)獲取、開發(fā)和維護(hù)（續(xù)）Page59控制目標(biāo)測(cè)試數(shù)據(jù)（14.3）目標(biāo)：確保保護(hù)測(cè)試數(shù)據(jù)控制措施系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)（14.3.1）測(cè)試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制A15、供應(yīng)商關(guān)系Page60控制目標(biāo)供應(yīng)商關(guān)系的信息全（15.1）目標(biāo)：確保保護(hù)可被供應(yīng)商訪問的組織資產(chǎn)控制措施供應(yīng)商關(guān)系的信息安全策略（15.1.1）為減緩供應(yīng)商訪問組織資產(chǎn)帶來的風(fēng)險(xiǎn)，應(yīng)與供應(yīng)商協(xié)商并記錄相關(guān)信息安全要求處理供應(yīng)商協(xié)議的安全問題（15.1.2）應(yīng)與每個(gè)可能訪問、處理、存儲(chǔ)組織信息、與組織進(jìn)行通信或?yàn)榻M織提供IT基礎(chǔ)設(shè)施組件的供應(yīng)商建立并協(xié)商所有相關(guān)的信息安全要求信息和通信技術(shù)供應(yīng)鏈（15.1.3）供應(yīng)商協(xié)議應(yīng)包括信息和通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)信息安全風(fēng)險(xiǎn)處理的要求A15、供應(yīng)商關(guān)系（續(xù)）Page61控制目標(biāo)供應(yīng)商服務(wù)交付管理（15.2）目標(biāo)：保持符合供應(yīng)商交付協(xié)議的信息安全和服務(wù)交付的商定水準(zhǔn)控制措施供應(yīng)商服務(wù)的監(jiān)視和評(píng)審（15.2.1）組織應(yīng)定期監(jiān)視、評(píng)審和審計(jì)供應(yīng)商服務(wù)交付供應(yīng)商服務(wù)的變更管理（15.2.2）應(yīng)管理供應(yīng)商服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務(wù)信息、系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估A16、信息安全事件和改進(jìn)的管理Page62控制目標(biāo)報(bào)告信息安全事件和弱點(diǎn)（16.1）目標(biāo)：確保采用一致和有效的方法對(duì)信息安全事件進(jìn)行管理，包括安全事件和弱點(diǎn)的傳達(dá)。控制措施職責(zé)和規(guī)程（16.1.1）應(yīng)建立管理職責(zé)和規(guī)程，以確?？焖佟⒂行Ш陀行虻仨憫?yīng)信息安全事件報(bào)告信息安全事態(tài)（16.1.2）信息安全事態(tài)應(yīng)盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告報(bào)告信息安